NTKRNLPA.EXE connesso a uno strano IP

Naviga le tue risposte
1

Alcuni consigli / assistenza necessari per effettuare una ricerca.

Primo: non sono sicuro se questo è il posto giusto per chiederlo. Se non lo è, per favore, nota e io chiudo.

Durante il fine settimana i miei account e-mail (yahoo e aziendale) sono stati bloccati a causa della password non valida.

Guardando uno dei miei laptop (Windows XPSP3), usando ProcessHacker.exe vedo il processo "ntkrnlpa.exe" connesso a IP 205.202.182.4. Ulteriore sguardo su quell'IP mi indica:

uk uk lnd london 51.514999 -0.083000 dinsa ministry of defence

Quale altro strumento utilizzerebbe qualcuno per ispezionarlo?

Modifica: ho aggiunto alcune schermate.

    
posta Saif Khan 16.12.2013 - 18:04
fonte

1 risposta

1

Dovresti prima investigare l'IP e bloccare ulteriormente. Se esegui una ricerca inversa, digitando semplicemente nslookup 205.202.182.4 in una riga di comando, vedrai: 

Name:    mil_shs_4.mil.esu3.k12.ne.us
Address:  205.202.182.4

Guardando la sottorete su in ARIN è di proprietà dell'università del Nebraska, ma l'indirizzo sembra appartenere a una scuola elementare. Quindi, niente a che fare con il Ministero della Difesa britannico.

Quindi questo ti aiuta? Forse, se non hai nulla a che fare con una scuola a Murdock, Nebraska, allora uno dei loro server può essere di proprietà e viene usato come server C & C per malware sul tuo computer. Se il tuo sistema si collega a questo spesso, è possibile che tu sia stato violato. Se questo è il motivo per cui i tuoi account e-mail sono stati bloccati è una storia diversa, ma è ragionevolmente probabile.

    
risposta data 16.12.2013 - 18:18
fonte

Leggi altre domande sui tag

Dove posso trovare un elenco di checksum per i file di Windows? Perché MS non firma tutti i propri eseguibili? gestisce il cookie di sessione-utente e il token csrf correttamente per l'app javascript